“嘿,我辛苦什么?你们当领导的才最辛苦!我每天下班走的时候,见你办公室的灯总是亮着的。哎,我说领导,那起MC的报错,杰克都跟你说了?”老黄问道,双眉紧锁。
“是的,我听他一说,就赶紧来了。”那剑回答。
老黄摇了摇头,嘬了下牙花儿:“我刚又细查了一下,案情有了些新进展,看起来问题不单单出在考勤服务器上。”
“哦?”
“走,咱们进去,我详细给你演示。”
一名警卫帮他们划开玻璃大门,三人绕过前台玄关走了进去。玄关射灯下赫然标示:Network ecurity Department(网络保安部)。
“那总!那总!”值守在安全监控中心MC大屏幕下的马龙与张豹见到那剑纷纷起身致意。作为网络保安部的工程师,马龙负责防火墙的日常维护,张豹则专攻入侵检测系统。
那剑冲他们笑了笑,询问张豹:“感冒好些了吧?”
“见好,烧早退了,今年真够冷的!”
ND办公区宽敞明亮。金属地砖铺地,黑色网格吊顶,员工工位采用荧光材质隔板相隔,银色饰条装饰,现代动感十足。放眼望去,大厅内大大小小各自闪烁的硬件设备不计其数,正前方为一面宽大的显示墙,两侧各设辅助小屏,所有集团内部网络状况均在上面实时显示。每每那剑来到十一层,都会有一种莫名的自豪感,这毕竟是他从几台电脑外加一台百兆防火墙逐步发展到今时今日这步田地的,ND对他来讲,如同亲生孩子,很是值得骄傲。
网络保安部成立于2003年,由那剑一手创建。2003年“非典”的传播,促使人们更加依赖互联网络实现异地沟通。无纸化办公逐步地改变着以往的工作习惯。国内众多的老牌国企纷纷面临着与国际接轨,转向电子商务应用平台的过渡局面。华夏制药首当其冲,于同年正式上马能够连通全国范围内各个分支机构的网络系统,全面实现产、供、销一体化的电子商务应用平台。各省市的分支机构通过互联网络访问位于北京总部的集团服务器,做到信息资源的零距离共享。好比远在青海偏远山区的药厂,都可实时访问集团配方服务器中的配方数据,开启生产作业。网络系统的全面铺开,势必需要安全防护,当时刚任总裁的关子峰,高薪聘请相识多年的那剑担任集团公司的首席安全官,全权掌管华夏制药的集团网络,并着手组建网络保安团队。成立之初,仅黄一行、董晓玲二人,而后逐步发展至目前拥有二十几人的豪华阵容。所有成员皆是来自知名理工院校的博士、硕士,以及多年工作在网安一线的资深工程师。
老黄冲马龙张豹一努嘴:“麻烦你们两个,把手里的活儿先停一停。”
“好的,黄工。”值守在MC主控台上的二员迅速离位。
总裁关子峰有话,华夏制药网保部三大台柱子,那剑、老黄与李闯。现在的办公一切依赖于网络,只要这三根台柱不倒,我华夏制药的网络系统即可高枕无忧了。老黄作为网络保安部的总工程师,在此兢兢业业地服役已有六年,其政审材料上是这样记录的:黄一行,男,1960年生人,毕业于中国科技大学网络安全系,博士学位,技术强项为信息系统综合分析。25年计算机行业从业经验,15年网络安全一线实战经验。曾任某证券公司网络部总工程师,于2003年协助警方侦破盗用“银广夏”证券交易密码大案。就职网络保安部6年以来,成功抵御来自外部互联网络的入侵行为大大小小三十余起。其网络排查分析能力极强,2006年生产部门某员工在门户网站论坛上大肆张贴诋毁集团公司的帖子、发布鼓动职工罢工的讯息,黄一行作为调查小组骨干,经过细致分析,一举将不法员工查获。2007年财务部门成功起获的某员工挪用公款事件,更是通过其缜密的网络痕迹排查而侦破的,其加入网络保安部经过集团高层以及机要部门的一致审核。原籍安徽巢湖,第二代北京常住人口,妻子在新闻报业工作,文字编辑;女儿就读于北京科技大学,生物工程系。
老黄在大屏幕上调出MC全程监控拓扑图。
“今天上午我和杰克做每周一次的例行排查,发现MC记录了一起错误访问日志。该日志指出,有一台源自集团内部网络的终端于上周二夜间两点访问过用于存放集团公司机密数据的配方服务器。我们先验证了该台终端访问身份的真实性与合法性,甄别为集团内部的IP地址,其访问身份、访问权限全部合法。正常情况下看起来,绝对是一次再普通不过的深夜到单位加班行为,但是报错何来?继而我们验证MC记录的事件源头,发现报错是来自考勤服务器。”
紧接着,老黄在屏幕上调出考勤服务器的示意图。
“那总您清楚,咱们集团员工每周的考勤记录,都是由各个部门的行政主管集中汇总并于次周上传至考勤服务器的,集团的财务部门与人事部门联动共享,才可进行工资核算与绩效考核。MC正是通过对比今天上午刚刚收到的数据,发现不存在该名员工深夜到单位来加班这一事件,从而形成这起错误访问日志的。考虑到涉及配方服务器,我就让杰克借着送年终报告的茬儿上去跟您汇报一下。”
那剑插肩望着MC主屏问道:“会不会是考勤服务器出错了?”
老黄端起大茶缸喝了一口,回答:“嘿,咱俩想的一样!杰克上楼之后,我继续做排查工作。首先检查的就是考勤服务器,看看是不是存在什么问题。联机检查没有,手动检查也没有,考勤服务器运行正常。一根线拴着两端,一头儿是机器,那另一头儿就是人了,考勤服务器既然没有问题,那只能从访问者身上入手。我想,会不会是该名员工的职工ID卡消磁或者受损了?二次查考勤记录,发现该ID从夜访日的第二天一直到今天,门禁系统依然在正常读取着他的信息。那么问题便浮出水面,他不通过ID卡核准身份开启大厦里的各道大门,又是通过什么途径进办公室的呢?难道是蜘蛛侠现身不成?”
老黄很是幽默,平日总喜欢逗网保部的小年轻儿们寻开心,在ND工作,大多精神高度集中,时间久了难免疲惫,有老黄言语上的调剂,员工们的弦儿也不至于绷得太紧。
李闯笑道:“哈哈,黄工,您以为是好莱坞大片呢,高空飞檐走壁,顺窗而入。咱们大厦要是深夜真来了蜘蛛侠,那可叫热闹了!”
那剑也笑了笑:“呵呵,涉及到集团保卫部的安防系统,咱们部门不好插手。老于在上海出差,等他回来我叫他去保卫部查一查,看看是不是门禁系统出了问题。”
老黄接着汇报,面色严肃起来:“说说访问内容吧,我直觉不太乐观。该名员工在线浏览了配方服务器中的部分数据,共14条配方,都是市场上常用的成药与制剂。此外,校验配方服务器中全部数据的时间轴发现,有一条新近研制的配方,数据信息他竟然还修改过,具体在什么地方做了改动,咱们不是研发部门人员无从去查证。再者,用于存放机密数据HN抗神的核心层,我由于权限的问题,也无从去查证。有一点我得指出,MC联动的防拷贝系统报告,那14条配方数据在访问的同一时间有过一次拷贝行为,但具体是不是就是该名员工拷走的,我们得到他终端上去取证,才能完全确认。至于取证调查工作,还得得到您的授权才行,毕竟是进入集团公司员工的办公终端,您看……”
“没问题!我即刻授权。”那剑伸过手去。
老黄二话不说就递过去腋下的平板电脑,那剑在触摸屏上签下名字,首席安全官的电子签名即刻同步到MC,激活老黄在那剑未到网保部之前就拟好的案件调查程序。
那剑边签名边叮嘱:“杰克黄工,此次的调查工作你们仍要本着咱们部门的一贯宗旨,网络上的事儿,能在网络上解决的就在网络上解决,尽量不要去打扰当事人。”
“明白!”老黄回答。
“明白!在证据未确凿之前,我们一定不去打扰当事人的正常工作。”李闯回答。
“最后谈谈我刚在电梯间那儿提到的案情新进展吧,这个刚发现的漏洞着实令人更不乐观。”老黄眉头紧锁。
“哦?”那剑显出一丝惊愕。
“我就是本着尽量去排除当事人的想法接连查证时才发现的,没想到这一查,更对当事人有了深入看法。我当时想,会不会是内网里有什么可疑程序在作祟?冒充该名员工的身份在恶意访问?”
“对呀,黄工,有这可能,以前咱们不就逮到过一条傀儡蠕虫吗?”李闯马上补充。
去年李闯在内网里捉到过一条能够模拟员工身份的蠕虫,该蠕虫还算是良性,传进来的源头无从验证了,但是其攻击能力着实不低,且不说能自我复制的基本特性,最要命的就是它趴在内网的任意角落里,能够随机记录若干网内终端用户的身份,冒充着傀儡员工的名义在各部门之间肆意互发病毒邮件,并且在MN、QQ等等聊天工具上留言病毒链接,极其令人讨厌。李闯带着小年轻儿们拿着扫描器在内网里扫了一整天才将它彻底清除干净。
“呵呵,是!我就怕是那种蠕虫作祟。为了确保万无一失,索性我让马龙张豹做了整体网络筛查,犄角旮旯都查遍了!逐一扫描可疑程序。一查防毒墙,咱们集团的防毒墙基本上实时从赛门铁克服务器上同步更新,互联网中最新的病毒样本防治疫苗咱们都有,未见异常。二查防火墙,未见严重攻击日志,现在就是再笨的黑客,也不会用强攻的手段直切防火墙进来恶意施种可疑程序。三查漏洞扫描系统,扫描了整个主干网络与分支网络,未见一丁点儿可疑漏洞。四查入侵检测系统,网络入侵检测系统与防火墙联动,也是未见任何异常,如果是黑客入侵,网络入侵检测系统在什么位置如果不存在内应,根本就不可能知情,进来立马就抓个现行,通报到MC紧急预警。问题出现在主机入侵检测系统上。”
入侵检测系统分散在内网的各个角落,犹如黑夜中长明路灯,映照着灯伞下的一切活动。
“什么问题?黄工!”李闯焦急地问。
“什么问题?嘿嘿,”老黄连连摇头,“什么问题都没有!你们都知道,咱们基于配方服务器旁路的主机入侵检测系统的防护策略是全部响应的,也就是说,针对配方服务器的访问行为,甭管是上班时间还是下班时间、正常的非正常的,全部无一例外记录在案。按道理说,该名员工的夜访行为应该排列在主机入侵检测系统的检测日志中才对,但是我刚才反复查证了,什么都没有!”
“我的天……”李闯有些瞠目结舌。
三人沉了一下。
那剑思索片刻,问道:“黄工,您的意思是说,该名员工在夜访过程中,有主动掩盖访问事实的意愿?”
“是的!要不是MC交叉核对考勤服务器,记录此次错误访问日志,估计咱们决计查不出来!”
那剑望一眼手表,布置后续工作:“黄工,我得去开会了。您尽管往下查,远程控制该名员工的办公终端,必要时可用数据恢复手段。杰克,你来配合!”
“是!”
“是!”
